我们在前面的工作中已经实现了ISA2006的代理服务器功能,接下来我们要实现ISA的访问控制功能。很多公司都有控制员工访问外网的需求,例如有的公司不允许员工访问游戏网站,有的公司不允许员工使用QQ等即时通讯工具,有的公司禁止员工下载视频文件,还有的公司只允许访问自家的门户网站…..这些需求都可以通过ISA2006防火墙策略中的访问规则来加以实现。既然如此,那我们赶紧来写上几条访问规则测试一下吧。别急,访问规则是由策略元素构成的,我们要想写出访问规则,首先要掌握策略元素,还是让我们从学习策略元素开始吧。
准备一下实验环境,拓扑如下图所示,Denver是Contoso.com的域控制器,Perth是域内的工作站,Beijing是ISA2006服务器,Beijing也加入了域。
我们的目标是先写出一条访问规则:允许在午休时间(12:00-13:00),人事部和财务部的员工可以访问互联网上除百度之外的网站,而且访问网站时不能访问视频和音频内容,我们通过这条规则的实现过程来学习策略元素。
如下图所示,打开ISA服务器管理,选中防火墙策略,此时右侧面板的工具箱中显示的就是策略元素,大家看到的有协议,用户,内容类型,计划,网络对象等,下面我们一一展开分析。
一 协议
协议元素限制了用户问外网时所使用的网络协议。例如我们此次实验的目标是只允许部分用户访问一些特定网站,那我们就可以在访问规则的协议元素中限定用户只可以使用HTTP和HTTPS,这样就保证了用户只能访问网站。当前ISA中有一个很宽泛的访问规则,如下图所示,允许内网和本地主机可以使用任何协议,在任何时间,以任何用户的身份,访问任意网络的任意内容。这条规则是我们在前面测试代理服务器的时候创建的,现在我们对它动动手术,只允许用户用HTTP和HTTPS访问外网。
下图是当前的访问规则,我们可以看到ISA允许使用任何协议对外访问,右键点击规则,查看规则属性。
在规则属性中切换到“协议”标签,如下图所示,将规则的应用范围从原先的“所有出站通讯”改为“所选的协议“,只允许使用特定的协议。
点击“添加”按钮,在协议中选择HTTP和HTTPS添加进来,如下图所示,添加完协议后点击确定。
如下图所示,访问规则已经被修改为ISA只允许HTTP和HTTPS协议通过。
我们使用协议元素可以在访问规则中轻松实现对协议的控制,但如果我们要控制的协议没有在ISA的协议元素中被定义那该怎么办呢?我们可以自定义协议元素,例如我们希望禁止用户使用QQ的通讯协议,我们就可以在防火墙策略的工具箱中选择“新建协议”,如下图所示。
出现新建协议向导,我们为新建的协议命名为QQ,下一步。
接下来我们定义协议参数,点击“新建”。
我们定义QQ协议使用UDP,方向为发送接受,端口为8000。
QQ不需要使用辅助连接,但有些协议例如FTP需要使用辅助连接。
结束新建协议向导。
这样我们就创建了一个自定义协议QQ,按照这种办法,我们可以将所需的协议元素都创建出来,然后就可以在访问规则中灵活地加以控制了。
